ddm Ausgabe 6 | 2017

ddm | Ausgabe 6 | 2017 52 New Media Das BSI hat hierzu eine Empfehlung für zu treffende Vereinbarungen zwischen Ihnen und dem Dienstleister veröffentlicht: • Verschwiegenheitspflicht • Einsatz von Hard- und Software zu Testzwecken für die IT-Systeme und IT-Anwendungen • Festlegung von erlaubten und unerlaubten Aktivitäten der Penetrationstester, um Schäden möglichst zu vermeiden • Vereinbarungen über den Umgang mit Datenträgern vor, während und nach Abschluss des Penetrationstests, da die Datenträger zum Beispiel sensible Informationen über die Testergebnisse enthalten können • Festlegungen über den Ort der Durchführung, der Auswertung und Berichterstellung für den Penetrationstest • Festlegung eines Terminplans einschließlich Wartungsfenster für die Durchführung der Tests • Detaillierte Vereinbarungen über den Zugang zum Internet beziehungsweise den Anschluss von Testsystemen an das Internet während der Durchführung und der Auswertung von Penetrationstests • Vereinbarungen über Zuständigkeiten und die Erreichbarkeit von Ansprechpartnern sowie zur Notfallvorsorge Penetrationstests – Wozu sind sie gut? In der klassischen Betrachtung gelten Penetrationstests als Vorgehen, den Sicherheitsstand von IT- Systemen zu bestimmen und mögliche Risiken aufzuzeigen. Es werden geplante und abgestimmte Hacker-Angriffe auf die IT-Systeme durchgeführt. Anschließend werden daraus Maßnahmen zur Beseitigung der Sicherheitslücken abgeleitet. Vorgehensweise bei einem Penetrationstest: Schritt 1: Informationssammlung In Zusammenarbeit mit dem Auftraggeber werden die Ziele und das genaue Vorgehen besprochen. Darüber hinaus versucht der Dienstleister so viele Informationen über die Ein- richtung/das Angriffsziel zu erhalten wie nur möglich. Es folgt die Berichterstattung, in der die potenziellen Schwachstellen ausgewertet werden. Schritt 2: Angriffssimulation Unter Einbeziehung der gesammelten Informationen wird anschließend mit den Angriffen auf die Infrastruktur der Praxis begonnen. Hier gibt es diverse Möglichkeiten, die optimal auf Ihre Anforderungen abgestimmt werden können. Besonders geeignet ist beispielsweise ver- decktes Arbeiten. Dabei ist es egal ob Sie prüfen, wie oft eine Fakemail angeklickt wird oder eine extern angeheuerte Person versucht Zugriff zu sensiblen Bereichen innerhalb Ihrer Praxis zu verschaffen. Schritt 3: Handlungsempfehlungen Nach erfolgter Durchführung des Penetrationstests werden die Ergebnisse analysiert und bewertet. Hier erfolgt auch eine Risikoabschätzung. Aus ihr leiten sich konkrete Maßnahmen und Umsetzungszeitpläne – je nach Risiko der erkannten Schwachstellen – ab.